{
	"id": "838ea0bd-8942-466f-9ef7-92fc9615af71",
	"created_at": "2026-04-06T00:15:52.39944Z",
	"updated_at": "2026-04-10T13:12:47.584992Z",
	"deleted_at": null,
	"sha1_hash": "c534990475ecc477172b5585d4fbf7a6baa25e9b",
	"title": "Comment Qbot revient en force avec OneNote ?",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 834921,
	"plain_text": "Comment Qbot revient en force avec OneNote ?\r\nBy DSIH\r\nPublished: 2023-02-14 · Archived: 2026-04-02 12:33:18 UTC\r\nIl y a tout juste un an, Microsoft nous annonçait une nouvelle mesure visant à éviter que les utilisateurs de sa suite\r\nOffice continuent de se faire piéger par des documents avec des macros [1]. Dans ce but Microsoft a décidé pour\r\ntout fichier dont le dernier enregistrement a été fait à partir d’une autre machine que celle sur lequel il est ouvert,\r\nde faire disparaître son petit bandeau jaune avec un message d’avertissement et un bouton « Activer le contenu »\r\nsur lequel les victimes étaient bien évidemment invitées à cliquer via une notice au format image incluse dans le\r\nfichier par les attaquants :\r\nAu profit d’un nouveau bandeau, rouge cette fois-ci indiquant que les macros sont bloquées car le fichier provient\r\nd’une source non approuvée :\r\nhttps://www.dsih.fr/article/5020/comment-qbot-revient-en-force-avec-onenote.html\r\nPage 1 of 6\n\nPour approuver le fichier, l’utilisateur est dans l’obligation de fermer le document, de se rendre dans les propriétés\r\nde ce dernier et de cocher la case « Débloquer » :\r\nLa manipulation est déjà plus complexe à faire réaliser aux victimes d’un message de phishing, ce qui semble\r\npénaliser les attaquants qui, vous vous en doutez, on trouvé un moyen de rentrer par la fenêtre après s’être fait\r\nsortir par la porte, le comble dans un système Windows.\r\nD’après un récent article publié sur le site de Sophos [2], une nouvelle campagne de distribution de Qbot\r\ns’appuyant sur des fichiers OneNote (avec une extension .one) aurait démarrée le 31 janvier dernier.\r\nÀ partir d’un échantillon ressemblant à celui qui est présenté dans l’article, même s’il présente quelques\r\ndifférences, il est assez intéressant d’observer la façon de procéder, qui est au final, encore plus simpliste que celle\r\nconsistant à intégrer des macros dans un fichier Word ou Excel.\r\nhttps://www.dsih.fr/article/5020/comment-qbot-revient-en-force-avec-onenote.html\r\nPage 2 of 6\n\nEn regardant de plus près, le « bouton Open » qui n’en est pas un, ne pointe pas vers un lien hypertexte, mais est\r\njuste un fichier GIF superposé à un script directement intégré au document lui-même :\r\nIl est assez rigolo de voir comment il est simple de déplacer les éléments intégrés au fichier et de voir apparaître le\r\nscript caché derrière cette image :\r\nhttps://www.dsih.fr/article/5020/comment-qbot-revient-en-force-avec-onenote.html\r\nPage 3 of 6\n\nEn enregistrant les éléments graphiques présents dans le fichier, on constate que les noms proposés par défaut sont\r\nen cyrillique :\r\nEn faisant appel à un traducteur en ligne, on n’apprend pas grand-chose du contenu traduit, mais la langue utilisée\r\nest confirmée :\r\nhttps://www.dsih.fr/article/5020/comment-qbot-revient-en-force-avec-onenote.html\r\nPage 4 of 6\n\nEn extrayant le script du fichier, on constate qu’il utilise Powershell pour créer un nouveau script dans le\r\nrépertoire C:\\programdata\\ à partir d’un contenu encodé en base 64 et l’exécuter dans la foulée :\r\nEn décodant le contenu, cela nous permet de connaître l’étape suivante :\r\nLe nouveau script va donc télécharger à l’aide de Powershell là encore, un fichier avec une extension GIF qu’il\r\nenregistre sur la machine avec une extension JPG, mais qui semble être en réalité une DLL qu’il va exécuter.\r\nLa suite vous la connaissez, connexion à un serveur de commande et de contrôle et les attaquants ont un pied dans\r\nle système d’information.\r\nLa méthode est simple, rapide et efficace. C’est bien pensé, c’est propre et c’est un joli pied de nez aux contre-mesures mises en place par Microsoft. J’attends avec impatience la solution d’atténuation proposée. Si c’est pour\r\nnous dire : « dites à vos collaborateurs de ne pas ouvrir les pièces jointes ou fichiers à télécharger via un lien en\r\nprovenance d’un message dont l’expéditeur n’est pas connu », comment dire, on fait déjà…\r\nElle remonte à quand votre dernière campagne de sensibilisation des utilisateurs ?\r\nhttps://www.dsih.fr/article/5020/comment-qbot-revient-en-force-avec-onenote.html\r\nPage 5 of 6\n\n[1] /article/4581/que-nous-annonce-microsoft-en-2022-pour-securiser-ses-produits.html \r\n[2] https://news.sophos.com/en-us/2023/02/06/qakbot-onenote-attacks/ \r\nL'auteur\r\nChef de projet sécurité numérique en santé - GCS e-santé Pays de la Loire Charles\r\nBlanc-Rolin est également vice-président de l’APSSIS (Association pour la promotion de la Sécurité des\r\nSystèmes d'Information de Santé)\r\nSource: https://www.dsih.fr/article/5020/comment-qbot-revient-en-force-avec-onenote.html\r\nhttps://www.dsih.fr/article/5020/comment-qbot-revient-en-force-avec-onenote.html\r\nPage 6 of 6",
	"extraction_quality": 1,
	"language": "FR",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://www.dsih.fr/article/5020/comment-qbot-revient-en-force-avec-onenote.html"
	],
	"report_names": [
		"comment-qbot-revient-en-force-avec-onenote.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434552,
	"ts_updated_at": 1775826767,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/c534990475ecc477172b5585d4fbf7a6baa25e9b.pdf",
		"text": "https://archive.orkl.eu/c534990475ecc477172b5585d4fbf7a6baa25e9b.txt",
		"img": "https://archive.orkl.eu/c534990475ecc477172b5585d4fbf7a6baa25e9b.jpg"
	}
}